Artikel 40 Testen der Geschäftsfortführungspläne

Summary What does Article 40 of the RTS on ICT risk management framework say?

This article directly follows on from Article 39, which requires certain financial entities (those under the simplified ICT risk management framework) to develop ICT business continuity plans.

Article 40 deals with the testing of those plans, establishing that testing must occur at least annually and that the purpose of testing is to verify the entity can sustain business viability until critical operations are restored.

Any deficiencies uncovered must not simply be noted — they must be analysed, addressed, and escalated to the management body.

Important points:

Test your business continuity plans at least once every year, or upon every major change to those plans.
Testing must demonstrate the ability to sustain business viability until critical operations are re-established and must identify any deficiencies.
Document all results and report any identified deficiencies to the management body.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Die in Artikel 16 Absatz 1 der Verordnung (EU) 2022/2554 genannten Finanzunternehmen testen ihre in Artikel 39 der vorliegenden Verordnung genannten Geschäftsfortführungspläne, insbesondere auch die dort genannten Szenarien, mindestens einmal jährlich im Hinblick auf die Sicherungs- und Wiedergewinnungsverfahren oder bei jeder größeren Veränderung des Geschäftsfortführungsplans.
1. Die in Absatz 1 genannten Tests der Geschäftsfortführungspläne müssen zeigen, dass die in jenem Absatz genannten Finanzunternehmen in der Lage sind, die Funktionsfähigkeit ihrer Geschäftstätigkeit aufrechtzuerhalten, bis kritische Vorgänge wiederhergestellt sind, und etwaige Mängel in diesen Plänen zu erkennen.
1. Die in Absatz 1 genannten Finanzunternehmen müssen die Ergebnisse der Tests der Geschäftsfortführungspläne dokumentieren, und etwaige bei diesen Tests festgestellte Mängel müssen analysiert, behoben und dem Leitungsorgan gemeldet werden.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.